Vulnerabilidad en XWiki Rendering (CVE-2025-53835)

Gravedad CVSS v3.1:

CRÍTICA

Tipo:

CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)

Fecha de publicación:

14/07/2025

Última modificación:

26/08/2025

Descripción

XWiki Rendering es un sistema de renderizado genérico que convierte la entrada de texto en una sintaxis dada (sintaxis wiki, HTML, etc.) en otra sintaxis (XHTML, etc.). A partir de la versión 5.4.5 y antes de la versión 14.10, la sintaxis XHTML dependía de la sintaxis `xdom+xml/current`, que permite la creación de bloques sin procesar que permiten la inserción de contenido HTML arbitrario, incluyendo JavaScript. Esto permite ataques XSS para usuarios que pueden editar un documento como su perfil de usuario (habilitado por defecto). Esto se ha corregido en la versión 14.10 eliminando la dependencia de la sintaxis `xdom+xml/current` de la sintaxis XHTML. Tenga en cuenta que la sintaxis `xdom+xml` sigue siendo vulnerable a este ataque. Como su propósito principal es la prueba y su uso es bastante difícil, esta sintaxis no debe instalarse ni usarse en una wiki normal. No hay soluciones alternativas conocidas aparte de la actualización.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 9.00 CRÍTICA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Obligatorio
Alcance (S): Modificado
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto